Prima di tutto: ISO / IEC 27001 è la norma che specifica i requisiti per la creazione, l'implementazione, la manutenzione e il miglioramento continuo di un sistema di gestione della sicurezza delle informazioni. I controlli di sicurezza sono specificati in ISO / IEC 27002.
In generale, le serie ISO 27000 (incluse ISO / IEC 27001 e 27002) non consigliano prodotti o determinate tecnologie da utilizzare per l'implementazione di un controllo. Un tipico controllo nella norma è descritto in modo piuttosto astratto. Ecco un esempio (tradotto gratuitamente dalla versione tedesca):
13.2.1 Guidelines and procedures for the transmission of information
Formal transmission policies, procedures and measures should be in place to protect the transmission of information for all types of communication devices.
Instructions for implementation
In the context of the procedures and measures to be followed when using communication facilities for the transmission of information, the following points should be taken into account:
(a) developing procedures to prevent transmitted information from being intercepted, copied, altered, diverted or destroyed;
(b) methods of detection and protection against malware transmitted through the use of electronic communications equipment (see 12.2.1);
(c) procedures for the protection of transferred sensitive electronic information, which are in the form of an annex; [...]1
Quindi, per rispondere alla tua domanda: non c'è un un vero "metodo di connessione conforme ai requisiti ISO-27001 per Windows Server su Amazon", perché non si fa menzione di quale tecnologia, protocollo o prodotto dovrebbero essere usato. Questo è qualcosa che dovresti decidere, ma ciò che è importante qui è che alla fine dovrebbe adattarsi alle descrizioni di un controllo. Quindi, ad esempio, RDP può essere usato in modo sicuro, ma hai molte cose da fare che possono essere complicate.
Per tornare al tuo esempio: l'utilizzo di un provider cloud è abbastanza semplice e l'utilizzo di uno che è certificato ISO 27001 è anche un vantaggio nella tua verifica. Per ottenere la certificazione, dovrai leggere le norme, comprenderle e solo successivamente implementare un controllo che soddisfi i requisiti del tuo ambito.
1: citazione tratta da DIN ISO / IEC 27002: 2016-11